Rechercher dans ce blog

lundi 12 décembre 2011

Votre ordinateur a été bloqué pour violation de la loi Française virus

Attention! Votre ordinateur un été bloqué versent la violation de la loi Française, c'est la phrase que ransomware français commence. C'est une variante légèrement modifiée du virus "Metropolitan Police" appelé troyen précédent qui a attaqué essentiellement le Royaume-Uni. Le comportement et les fausses accusations d'envoyer spam et regarder/partager des vidéos adultes illégales rester inchangées. Les détournements d'avion troyens votre ordinateur et paiement de rançon de demandes pour les instructions de plus sur comment ouvrir le système. Il dit que vous avez besoin d'échanger de l'argent (en fait, 200€) pour un Ukash ou un bon Paysafecard et indiquer son nombre dans le champ respectif. Avec un peu de chance, vous recevrez le code ouvrir pendant les 24 heures suivantes. Si vous refusez de payer la rançon, votre adresse d'IP et renseignements personnellement identifiables seront envoyés à l'Interpol. Angoissant n'est-ce pas? Ce serait, si ce n'était pas le faux. Il ne peut pas encrypt ou effacer vos dossiers. Il ne peut pas voler des renseignements personnellement identifiables non plus. C'est juste une notification fausse. Si votre ordinateur est infecté avec ce Votre ordinateur un été bloqué versent la violation de la loi Française ransomware, suivez s'il vous plaît les instructions d'enlèvement ci-dessous. La bonne chance et être sûr en ligne!

Automatic removal solution:

  1. Go to your friend, relative or anybody else who has computer with Internet connection.
  2. Take your USB flash drive / Memory Stick with you.
  3. Download GridinSoft Trojan Killer installation file from this site http://trojan-killer.net/download.php and save it to your USB flash drive / Memory Stick.
  4. malware removal tool

  5. Get back to your infected PC and insert the USB Drive / Memory Stick into the respective USB slot.
  6. Perform hard reset (press reset button on your computer) if your infected PC has been on with Metropolitan Police background. If not, then simply turn your PC on.
  7. Before the very boot process begins keep repeatedly hitting “F8” button on your keyboard.
  8. In the window that appeared select “Safe mode with command prompt” option and press Enter.
  9. Choose your operating system and user account which was infected with Metropolitan Police virus.
  10. In the cmd.exe window type “explorer” and press “Enter” button on your keyboard.
  11. Select “My Computer” and choose your USB flash drive / Memory Stick.
  12. Run the installation file of GridinSoft Trojan Killer. Install the program and run scan with it. (update of the program will not work for “Safe mode with command prompt” option)
  13. When the hijackers are successfully disabled (fixed) by GridinSoft Trojan Killer you may close GridinSoft Trojan Killer application.
  14. In the cmd.exe window type “shutdown /r /t 0” and press “Enter” button on your keyboard.
  15. Upon system reboot your PC will be unlocked and you will be able to use it just as before the infection took pace.
  16. However, it is recommended that you now update GridinSoft Trojan Killer and run the scan with it again to remove the source of the infections causing Metropolitan Police virus to infect your PC.

Automatic removal video:




Solution d’enlevement automatique:

  • Accédez à votre ami, un parent ou quelqu'un d'autre qui a l'ordinateur avec connexion Internet.
  • Prenez votre lecteur flash USB / Memory Stick avec vous.
  • Télécharger le fichier d'installation à partir de ce GridinSoft Trojan Killer http://trojan-killer.net/download.php site et le sauvegarder sur votre lecteur flash USB / Memory Stick.
  • malware removal tool

  • Revenez à votre PC infectés et insérer la clé USB / Memory Stick dans la fente USB respectifs.
  • Effectuer hard reset (presse reset bouton sur votre ordinateur) si votre PC a été infecté avec un fond sur ce virus. Si non, alors il suffit de tourner sur votre PC.
  • Avant le processus de démarrage commence très garder plusieurs reprises frapper "F8" sur votre clavier.
  • Dans la fenêtre qui apparaît choisissez "mode sans échec avec invite de commande" et appuyez sur Entrée.
  • Choisissez votre système d'exploitation et le compte utilisateur qui a été infecté par le virus de la police métropolitaine.
  • Dans la fenêtre cmd.exe type "explorateur" et appuyez sur "Enter" sur votre clavier.
  • Sélectionnez "Poste de travail" et choisissez votre lecteur flash USB / Memory Stick.
  • Exécutez le fichier d'installation de GridinSoft Trojan Killer. Installez le programme et exécuter scan avec elle.(mise à jour du programme ne fonctionnera pas pour "Mode sans échec avec invite de commande" en option)
  • Lorsque les pirates réussissent à mobilité réduite (fixe) par GridinSoft Trojan Killer vous pouvez fermer l'application GridinSoft Trojan Killer.
  • Dans la fenêtre cmd.exe taper "shutdown / r / t 0" et appuyez sur "Enter" sur votre clavier.
  • Sur système de redémarrer votre PC sera débloqué et vous pourrez l'utiliser comme avant l'infection a pris le rythme.
  • Cependant, il est recommandé que vous avez maintenant mise à jour GridinSoft Trojan Killer et lancez le scanavec elle de nouveau pour enlever la source de l'infection du virus causant ces d'infecter votre PC.

Manual removal instructions: (might not be effective though)

  1. Restart your system into "Safe Mode with Command Prompt". While the PC is booting press the "F8 key" continuously, which should present the "Windows Advanced Options Menu" as presented in the image below. Apply the arrow keys in order to move to "Safe Mode with Command Prompt" and hit Enter key of your keyboard. Login as the same user you were previously logged in under the normal Windows mode.
  2. Safe Mode with command prompt
  3. Once Windows boots successfully, the Windows command prompt would appear as described at the screenshot below. At the command prompt, type-in the word "explorer", and press Enter. Windows Explorer should open. Please do not yet close it. You can minimize it for a while.
  4. Afterwards open the Registry editor by applying the same Windows command prompt. Type-in the word "regedit" and hit Enter button of your keyboard. The Registry Editor should open.
  5. You know how it normally looks like, don't you? Well, here is the screenshot of it:

  6. Find the following registry entry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

    In the right-side panel select the registry entry named Shell. Right click on this registry key and select "Modify" option. Its default value should be "Explorer.exe". However, this virus did its job, and so after you click "Modify" you would see totally different value of this registry entry.
  7. Copy the location of the modified value of the above-mentioned registry entry to the piece of paper or memorize its location. It shows where exactly the main executable of this virus is located.
  8. Modify the value of the registry entry back to "explorer.exe" and save the settings of the Registry Editor.
  9. Go to the location indicated in the value of modified registry entry. Remove the malicous file. Use the file location you copied into the piece of paper or otherwise noted in step in previous step. In our case, the virus file was located and running from the Desktop. There was a file called "contacts.exe", but it may have different (random) name.
  10. Get back to "Normal Mode". In order to reboot your PC, when at the command prompt, type-in the following phrase "shutdown /r /t 0" (without the quotation marks) and hit Enter button.
  11. The virus should be gone. However, in order to clean your PC from other possible virus threats and malware remnants, make sure to download and run GridinSoft Trojan Killer downloadable through the button below.

Associated virus files to be removed:

[random].exe

Associated virus registry entries to be removed:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "[random].exe"

11 commentaires:

  1. Bonjour j'ai la même infection par contre ma clef registre shell n'à pas ete modifier et lorsque je lance explorer.exe le virus ce lance.
    Je pense du coup que le raccourcie explorer à surementt du être modifier, je n'ais accès à rien vu que je n'ais pas accès à explorer.
    Svp aidez moi.

    RépondreSupprimer
  2. Exactement pareil, le dossier "Shell" n'a pas été modifié et c'est bien "explorer.exe" d'écrit, pourtant le virus persiste...

    RépondreSupprimer
  3. J'essaye de vérifier que l'adresse d'accès à explorer.exe est exact mais je ne trouve pas l'adresse original..

    RépondreSupprimer
  4. Possibilité d'avoir de l'aide? J'ai l'impression que le malware ce lance en même temps qu'explorer de n'importe quel manière ...

    RépondreSupprimer
  5. you must remove a malicious file virus (step 7). this file may have different (random) name, therefore, you can see it by searching the date detected virus, type *.exe, and delete it! Bonne chance!!!

    RépondreSupprimer
  6. Je n ai pas compris ton explication pandora, j'ai le meme problème que skiven et ingoten..

    RépondreSupprimer
  7. Hello

    I have the same virus but impossible to reboot in safe mode ??

    Impossible de rebooter en mode sans echec

    Help !!!

    RépondreSupprimer
  8. salut ! Comme nombre d'entre vous, ma clé de registre shell était bien toujours explorer.exe et donc impossible de compléter la procédure ci-dessus. Impossible non plus de lancer une restauration sous windows non plus.

    La solution : une restauration via une invite de commande sous windows en mode sans échec.

    La manip est simple, mais voici la procédure pas à pas : http://forum.telecharger.01net.com/microhebdo/questions-techniques-diverses/tuto-securite/restauration-systemeinvite-de-commande-en-mode-sans-echec-353094/messages-1.html

    RépondreSupprimer
  9. Bonjour,
    j'ai le virus depuis hier, ordi bloqué.
    J'ai tenté ce qui est expliqué dans la vidéo, mais ça bloque à l'étape 9.

    Donc j'ai utilisé le lien de Jean-Philippe (merci!) mais impossible de forcer la restauration du système: quand j'arrive sur la partie
    C:\WINDOWS\system32\Restaure>rstrui.exe

    mon ordi ouvre une fenêtre pour m'annoncer "Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restauration du système."

    HELP!
    (je précise que jusqu'à hier soir, je ne savais même pas ce que "redémarrer sans échec" voulait dire: je n'y connais rien de rien en informatique... je galère...)

    RépondreSupprimer
  10. Bonjour à tous,

    j'ai résolu ce pb en réinjectant la base software dans la base de registre.Si vous avez la possibilité demettre votre disque système en externe, la facon la plus simple est:
    1: passer le disque sous antivirus afin que les fichiers infectés sois supprimer, en regle générale c:\windows\explorer.exe; c:\doc & settings\user\local & settings\temp\*.exe;et dans un point de restauration.
    2:\copier le fichier _REGISTRY_MACHINE_SOFTWARE dans C:\System Volume Information\_restore{E33BE0A3-D98F-4344-9FEC-8F5FF4259592}\RP45\snapshot\ (prendre un point de restauration antérieur à la date d'infection) et le copier dans C:\WINDOWS\system32\config ( dans ce dossier renommer le fichier software en software.old) et renommer le fichier précédemment copier en software. et redémarrer le pc.

    RépondreSupprimer
  11. Bonjour,
    J'ai trouvé une entreprise qui a desinfecté mon PC en urgence au téléphone
    Service super pratique et personne aimable, je le recommande :

    Suppression virus gendarmerie nationale

    RépondreSupprimer